Top過去ログ目次掲示板

作成日:2002年10月05日 作成:おやじ
掲示板で過去に質問された内容です。

No.157 ルーターの設定で


No.157 投稿時間:2002年10月05日(Sat) 10:55 投稿者名:三ツ股 謙二 URL:
タイトル:ルーターの設定で

お世話になります

現在自宅サーバーを構築中の者です
あなたのホームページ、大変参考になりました
ありがとうございます

現在linuxのサーバーとwinxpのクライアントをメルコのルーターBLR3-TX4で接続
固定IPを獲得しました

ひとつ教えてもらいたいのですが

ルーターのNATテーブルでIPの行き先を指定しました。
あとパケットフィルターでフィルターをかける必要というのはあるのでしょうか
というのも外部からのパケットでNATで指定したポート番号以外は行き先がなく
ルーターの段階で破棄されるのではないでしょうか
素朴な質問ですいませんが
お答え願いますか


No.158 投稿時間:2002年10月05日(Sat) 12:02 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:NAT=簡易ファイヤウォール

> お世話になります
>
> 現在自宅サーバーを構築中の者です
> あなたのホームページ、大変参考になりました
> ありがとうございます
>
> 現在linuxのサーバーとwinxpのクライアントをメルコのルーターBLR3-TX4で接続
> 固定IPを獲得しました
>
> ひとつ教えてもらいたいのですが
>
> ルーターのNATテーブルでIPの行き先を指定しました。
> あとパケットフィルターでフィルターをかける必要というのはあるのでしょうか
> というのも外部からのパケットでNATで指定したポート番号以外は行き先がなく
> ルーターの段階で破棄されるのではないでしょうか
> 素朴な質問ですいませんが
> お答え願いますか

 こんにちは。
 NATとフィルタは関係があるようでありません。
 NATは(スタティックNAT)は、インターネットにサーバを公開するために、インターネット
から通信が始まるサーバへのアクセスをポート番号(www:80)を指定してサーバのアドレス
に向けてNAT変換せずに中継して、インターネット側からみると、あたかもルータのWAN側
にサーバがいるがごとく見せるための機能です。従って、ご指摘のとおり、NATしていない
ポートでインターネット側から入ってきても行き場が無いので廃棄されます。NATが簡易
ファイヤウォールになるというのは、このことですから。
 一方、フィルタはいろいろな目的で使用されます。今お使いのBLR3-TX4のようなルータは
基本的にパケットを通す設定になっており、フィルタ設定したものを遮断(deny)する仕組み
ですので、ご指摘のようにフィルタをかけるというのは目的と反対になってしまいますので、
三ツ股さんの解釈であっています。 これに対して、おやじのように基本的に通さない設定に
なっている場合は、サーバを建てると明示的に設定してあげないと通過できません。
 なぜこのような設定にしているかといえば、例えばhttpdにセキュリティホールがあり、
サーバが乗っ取られたりすると、そのサーバを踏み台に内側から外部へtelnetでいたずらする
など、簡単にできてしまうからです。開いているポートなら当然でられますが、できることが
かぎられますので、いくらかは安全といったところですか。
 さらに強固にするなら、ファイヤウォールをいれ、アプリケーションレベルでフィルタすれば、
有効でしょう。例えば、トロイの木馬で、許可したアプリ以外が動作してWWWで外部へ出ようと
しても遮断されますので。ルータのフィルタでは当然WWWは内部から出られますので、このような
ケースでは何の役にもたちませんから。



掲示板▲頁先頭